Feed on
Posts
Comments

前言

撰寫本文章時候,我是PIXNET的員工。

簡介

有關於Amazon Web Service(AWS)的應用,已經滿地開花,本文就不再詳述,這篇文章重點是來介紹VPC與環境建立。用過EC2都知道,連入EC2需要花一些功夫,當你機器一多時候,或是量一來的時候,如果沒有適當的工具來協助通常都會手忙腳亂。如果你還有自已的Data Center,與EC2上機器交換資料時,還要考慮加密傳輸這件事,還有一堆會讓SA想殺人的事….(下略300字)。

Amazon Virtual Private Cloud (Amazon VPC) lets you provision a private, isolated section of the Amazon Web Services (AWS) Cloud where you can launch AWS resources in a virtual network that you define.

Amazon是這麼介紹的,白話一點說法就是,「把雲拉進來家裡」(誤)。

基本需求

目前(2012/02)哪些服務可以透過VPC存取:

  • EC2
  • RDS
  • S3(我還沒找到怎麼連)
  • SimpleDB

跑VPC的基本需求,想要省錢(土炮)出來的軟體或設備一定要能跑IPSec與BGP:

  • Establish IKE Security Association using Pre-Shared Keys
  • Establish IPsec Security Associations in Tunnel mode
  • Utilize the AES 128-bit encryption function
  • Utilize the SHA-1 hashing function
  • Utilize Diffie-Hellman Perfect Forward Secrecy in “Group 2” mode
  • Establish Border Gateway Protocol (BGP) peerings
  • Bind tunnels to logical interfaces (route-based VPN)
  • Utilize IPsec Dead Peer Detection
  • Perform packet fragmentation prior to encryption
如果對上述VPN/路由協定不熟,沒關係,花錢最快,買硬體式的IPSec VPN
AWS還提供設定範本給你直接貼上使用。以下紅字部分是我有實際測試過的:
  • Astaro Security Gateway running version 8.3 (or later)
  • Astaro Security Gateway Essential Firewall Edition running version 8.3 (or later)
  • Cisco ISR running Cisco IOS 12.4 (or later) software
  • Juniper J-Series Service Router running JunOS 9.5 (or later) software
  • Juniper SRX-Series Services Gateway running JunOS 9.5 (or later) software
  • Juniper SSG running ScreenOS 6.1, or 6.2 (or later) software
  • Juniper ISG running ScreenOS 6.1, or 6.2 (or later) software
  • Yamaha RTX1200 router

網路架構

怎麼透過VPC把上述服務拉進來自已的網路呢?在Scenarios for Using Amazon VPC裡面提到四個場景,如果用硬體式的VPN就是後面兩種啦,裡面都有詳細的介紹。以目前的需求,我是選用Scenario 3: VPC with Public and Private Subnets and Hardware VPN Access

需要注意的事情:

  • Public Subnet的機器需要有EIP,才能從Internet連入。
  • Public Subnet無法透過VPC連到你的Data Center。
  • Private Subnet的機器,只能連到Public Subnet與Data Center的機器。
  • 若要連外需在Public Subnet架設NAT server。
  • 或是透過VPC連回Data Center(Server Fram)的網路/Proxy連外。
  • Public Subnet不能使用ELB。

架構圖如下:

 

Leave a Reply